2024-03-19 11:35 (화)
웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
상태바
웹호스팅 업체 리눅스 서버 감염시킨 ‘에레버스 랜섬웨어’ 분석 정보
  • 길민권 기자
  • 승인 2017.06.13 18:53
이 기사를 공유합니다

이번 공격에 사용된 에레버스 랜섬웨어 파일 분석 내용

웹호스팅 업체 ‘인터넷나야나’ 서버를 공격해 큰 피해를 발생시킨 ‘에레버스 랜섬웨어’에 대한 안랩 ASEC의 분석 내용이 블로그에 공개됐다. 다음은 악성코드 분석가 및 보안전문가로 구성된 글로벌 대응조직인 ASEC(시큐리티대응센터, AhnLab Security Emergency response Center)이 블로그에 공개한 분석내용 전문이다. (편집자 주)

2017년 6월 10일 국내 모 유명 웹 호스팅 업체의 리눅스 웹 서버 및 백업 서버 153대가 랜섬웨어 에레버스(Erebus)에 감염되어 서버 내 주요 파일이 암호화되었다고 알려졌다. 이로 인해 현재까지 해당 업체에서 호스팅하는 일부 사이트의 정상적인 접속이 불가능하다.

이번 공격에 현재까지 총 2개의 에레버스(Erebus) 랜섬웨어 파일이 확인되었으며, 각각 32비트 그리고 64비트 환경에서 동작하는 리눅스용 ELF 파일이다. 악성 파일 내부에 EREBUS 문자열과 암호화 관련 문자열을 다수 포함하고 있다. 악성코드 감염 직후에는 다음과 같은 증상이 확인된다.

▲ 출처 안랩 ASEC 블로그. 이하 동일
▲ 출처 안랩 ASEC 블로그. 이하 이미지 동일
-암호화 대상 파일명 변경: "[영문과숫자조합].ecrypt"

-랜섬노트 파일 생성: "_DECRYPT_FILE.txt" "_DECRYPT_FILE.html"

e-3.jpg
암호화 대상 파일은 리눅스 운영체제 내에 존재하는 주요 확장자 파일로 .tar, .gz 등의 압축 파일, .jpg, .docx, .xlsx 등 문서 및 그림 파일이 포함된다. 다음은 암호화 대상이 되는 전체 확장자 모음이다.

e-4.jpg
단, 다음 경로 내에 존재하는 파일은 암호화되지 않는다.

e-5.jpg
파일 실행 직후 주요 데이터 파일이 암호화되고 랜섬 노트 파일이 생성된다. 암호화된 파일명은 [영문과숫자조합].ecrypt 으로 변경된다. 동일한 키로 암호화된 파일은 암호화된 원본 파일 데이터 앞에 동일한 암호화 키 정보, 사용자 고유 번호 등을 포함한 바이너리가 있다.

e-6.jpg
에레버스 랜섬웨어는 실행 직후 네트워크 접속 여부와 상관없이 모두 암호화 행위를 수행한다. 파일 내에 존재하는 악성 C&C 주소는 .onion 도메인인 Tor 네트워크를 이용하고 있으며 확인된 주소는 다음과 같다.

-C&C : 216.126.224.128

-Tor 네트워크:

7fv4vg4n26cxleel.onion.to
7fv4vg4n26cxleel.onion.nu
7fv4vg4n26cxleel.hiddenservice.net
7fv4vg4n26cxleel.gbe0.top
qzjordhlw5mqhcn7.onion.to
qzjordhlw5mqhcn7.onion.nu
qzjordhlw5mqhcn7.hiddenservice.net
qzjordhlw5mqhcn7.gbe0.top
7fv4vg4n26cxleel.onion
qzjordhlw5mqhcn7.onion

e-7.jpg
현재 안랩 V3 제품군에서 다음과 같이 진단한다.

-Linux/Erebus (2017.06.11.01)

[글. 안랩 ASEC]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★